热门标签
热门文章
- 1软件测试工程师--面试题_uftuif
- 2用Python 开发植物大战僵尸游戏_python中怎么做植物大战僵尸
- 3在MAC系统中使用mysql,出现mysql: command not found的情况_command not found: mysql
- 4【点云论文速读】6D位姿估计
- 5共识问题:区块链如何确认记账权?_区块链候选记账权
- 6python sys os time random模块_pycharm安装sys os time 模块
- 7Git重修系列 ------ Git的使用和常用命令总结
- 8uniapp tabBar角标问题_uniapp再tabbar上添加动态的数字角标
- 915个超实用Python文本处理案例分享,快点码住!_python关于文件经典例子
- 10auditd 用户审计详解
当前位置: article > 正文
2024蓝桥杯CTF--逆向
作者:Monodyee | 2024-05-02 14:33:24
赞
踩
2024蓝桥杯CTF--逆向
题目:RC4
-
先查壳,无壳,并且是32位:
-
用32位的ida打开,直接定位到main函数:
-
重点关注sub_401005函数,这个应该就是加密函数无疑:
-
典型的RC4加密无疑,这里有两种方法进行逆向,第一种:可以在main函数中第52行打上断点,运行到这里后直接查看内存中的V5,即位flag。第二种:将需要的信息提取出来key=gamelab@,使用脚本进行解密:
-
第一种:
-
-
第二种:
#RC4加密 def rc4(key, ciphertext): # 初始化S盒 sbox = list(range(256)) j = 0 for i in range(256): j = (j + sbox[i] + key[i % len(key)]) % 256 sbox[i], sbox[j] = sbox[j], sbox[i] # 生成密钥流 i = 0 j = 0 keystream = [] for _ in range(len(ciphertext)): i = (i + 1) % 256 j = (j + sbox[i]) % 256 sbox[i], sbox[j] = sbox[j], sbox[i] k = sbox[(sbox[i] + sbox[j]) % 256] keystream.append(k) # print(keystream) # 解密密文 plaintext = [] for i in range(len(ciphertext)): m = ciphertext[i] ^ keystream[i] plaintext.append(m) print(plaintext) # 将明文转换为字符串 return ''.join([chr(p) for p in plaintext]) # 测试 key = b"gamelab@" ciphertext =[0xB6,0x42,0xB7,0xFC,0xF0,0xA2,0x5E,0xA9,0x3D,0x29,0x36,0x1F,0x54,0x29, 0x72,0xA8,0x63,0x32,0xF2,0x44,0x8B,0x85,0xEC,0xD,0xAD,0x3F,0x93,0xA3,0x92, 0x74,0x81,0x65,0x69,0xEC,0xE4,0x39,0x85,0xA9,0xCA,0xAF,0xB2,0xC6] # for i in ciphertext: # print(chr(i),end="") plaintext = rc4(key, ciphertext) print(plaintext) #flag{12601b2b-2f1e-468a-ae43-92391ff76ef3}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 两个flag一样,说明正确。
题目:happytime
-
同样的流程,查壳无,64位的.elf程序,使用ida打开,直接进入main函数:
-
printf输出提示信息Let’s have a drink,pay your answer(flag):,read在键盘读取flag输入,重要的关键函数是cry加密函数,接受v5和输入的flag,这里的11应该是flag被分割成了11组,最后一个循环比较加密后的flag和V6,刚好和上面v6数组对应:
-
根据函数的特征,可以判定这是XXTEA加密无疑,找到其中的DELTA,密文(main函数中的v6),和key(前面main函数的V5),即可编写脚本解密(输出的时候注意大小端序):
#include <stdbool.h> #include <stdio.h> #define MX (((z >> 5) ^ (y << 2)) + ((y >> 3) ^ (z << 4)) ^ (sum ^ y) + (k[(p & 3) ^ e] ^ z)) bool btea(unsigned int *v, int n, unsigned int *k) { unsigned int z = v[n - 1], y = v[0], sum = 0, e, DELTA = 0x61C88647; unsigned int p, q; if (n > 1) { /* enCoding Part */ q = 415 / n + 114; while (q-- > 0) { sum += DELTA; e = (sum >> 2) & 3; for (p = 0; p < (n - 1); p++) { y = v[p + 1]; z = v[p] += MX; } y = v[0]; z = v[n - 1] += MX; } return 0; } else if (n < -1) { /* Decoding Part */ n = -n; q = 415 / n + 114; sum = -q * DELTA; while (sum != 0) { e = (sum >> 2) & 3; for (p = n - 1; p > 0; p--) { z = v[p - 1]; y = v[p] -= MX; } z = v[n - 1]; y = v[0] -= MX; sum += DELTA; } return 0; } return 1; } int main() { unsigned int v[11] = {0x480AC20C, 0xCE9037F2, 0x8C212018, 0xE92A18D, 0xA4035274, 0x2473AAB1, 0xA9EFDB58, 0xA52CC5C8, 0xE432CB51, 0xD04E9223, 0x6FD07093}, key[4] = {0x79696755, 0x67346F6C, 0x69231231, 0x5F674231}; int n = 11; // n为要加密的数据个数 btea(v, -n, key); // 取正为加密,取负为解密 char *p = (char *)v; for (int i = 0; i < 44; i++) { printf("%c", *p); p++; } return 0; } //flag{efccf8f0-0c97-12ec-82e0-0c9d9242e335}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 最后输入验证flag成功!!!
总结:
- 蓝桥杯CTF(付费CTF),逆向题难度签到题难度,题目质量。。。。,也难怪圈。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/524553
推荐阅读
相关标签
